查看 thc-ssl-dos,它只会影响启用了重新协商的 SSL 网站。
我已经检查了一些服务器并有以下问题;
首先,在我的 Apache 安装中,重新协商是默认禁用的,那么在什么情况下我应该启用它?
其次,我有一个开发箱,上面有几个虚拟主机,我该如何启用它(仅适用于默认站点)以便测试此攻击的有效性?我在 Debian squeeze 上运行 apache2。
谢谢。
答案1
SSL/TLS 重新协商默认启用,但许多 Linux 发行版发布了禁用重新协商的 Apache 修补版本。您需要检查 Apache 发行版的版本号和更新日志以确保无误。
假设您正在使用的版本已禁用重新协商,您可以通过SSLInsecureRenegotiation on在 apache 配置中进行设置来重新启用它。
答案2
Apache 2.2.15 或更高版本与 OpenSSL 0.9.8l 或更低版本一起运行会完全禁用客户端发起的重新协商,无法将其打开。
使用 Apache 2.2.15 或更高版本中的 OpenSSL 0.9.8m,您可以做以下几件事:
- 新的安全重新谈判标准来自RFC 5746默认启用。
- 旧的重新协商协议默认是禁用的,但对于不支持新标准的客户端,可以通过指令重新启用它
SSLInsecureRenegotiation On。
从我对这个问题所做的少量挖掘来看,我不清楚所使用的重新协商类型(新的“安全”类型或旧标准)是否与攻击是否成功有关 - 它可能只对其中一个起作用,或者对两者都起作用。
就需要启用它的场景而言,我认为客户端证书认证是主要用例。